Sterowanie ustawieniami usługi Windows Hello dla firm na urządzeniach za pomocą usługi Microsoft IntuneControl Windows Hello for Business settings on devices with Microsoft Intune

Dotyczy: usługa Intune w portalu klasycznymApplies to: Intune in the classic portal
Szukasz dokumentacji dotyczącej usługi Intune w witrynie Azure Portal?Looking for documentation about Intune in the Azure portal? Przejdź tutaj.Go here.

Usługa Microsoft Intune umożliwia integrację z usługą Hello dla firm (znaną wcześniej jako Microsoft Passport for Work), czyli alternatywną metodą logowania korzystającą z usługi Active Directory lub konta usługi Azure Active Directory w celu zastąpienia hasła, karty inteligentnej lub wirtualnej karty inteligentnej.Microsoft Intune integrates with Windows Hello for Business (formerly Microsoft Passport for Work), an alternative sign-in method that uses Active Directory or an Azure Active Directory account to replace a password, smart card, or a virtual smart card.

Usługa Hello dla firm pozwala używać do logowania gestu użytkownika zamiast hasła.Hello for Business lets you use a user gesture to sign in, instead of a password. Gestem użytkownika może być prosty numer PIN, uwierzytelnianie biometryczne, takie jak Windows Hello, lub urządzenie zewnętrzne, np. czytnik linii papilarnych.A user gesture might be a simple PIN, biometric authentication such as Windows Hello, or an external device such as a fingerprint reader.

Integracja usługi Intune z usługą Hello dla firm następuje na dwa sposoby:Intune integrates with Hello for Business in two ways:

Ważne

W systemie Windows 10 w wersji Desktop i Mobile przed aktualizacją Anniversary Update można było ustawić dwa różne numery PIN służące do uwierzytelniania zasobów:In Windows 10 desktop and mobile versions prior to the Anniversary Update, you could set two different PINS that could be used to authenticate to resources:

  • Numer PIN urządzenia umożliwiał odblokowanie urządzenia i nawiązanie połączenia z zasobami w chmurze.The device PIN could be used to unlock the device and connect to cloud resources.
  • Służbowy numer PIN służył do uzyskiwania dostępu do zasobów usługi Azure AD na urządzeniach osobistych użytkownika (BYOD).The work PIN was used to access Azure AD resources on user’s personal devices (BYOD).

W aktualizacji Anniversary Update te dwa numery PIN zostały scalone w jeden numer PIN urządzenia.In the Anniversary Update, these two PINS were merged into one single device PIN. Wszystkie ustawione zasady konfiguracji usługi Intune służące do kontrolowania numeru PIN urządzenia oraz wszystkie skonfigurowane zasady usługi Windows Hello dla firm ustawiają teraz tę nową wartość numeru PIN.Any Intune configuration policies you set to control the device PIN, and additionally, any Windows Hello for Business policies you configured, now both set this new PIN value. Jeśli ustawiono kontrolę numeru PIN przy użyciu obu typów zasad, zasady usługi Windows Hello dla firm zostaną zastosowane na komputerze z systemem Windows 10 oraz urządzeniach przenośnych.If you have set both policy types to control the PIN, the Windows Hello for Business policy will be applied on both Windows 10 desktop and mobile devices. Aby zapewnić rozwiązywanie konfliktów i prawidłowe stosowanie zasad dotyczących numeru PIN, zaktualizuj zasady usługi Windows Hello dla firm, aby były zgodne z ustawieniami w zasadach konfiguracji i poproś użytkowników o zsynchronizowanie swoich urządzeń w aplikacji Portal firmy.To ensure policy conflicts are resolved and that the PIN policy is applied correctly, update your Windows Hello for Business Policy to match the settings in your configuration policy, and ask your users to sync their devices in the Company Portal app.

Tworzenie zasad usługi Windows Hello dla firmCreate a Windows Hello for Business policy

  1. W konsoli administracyjnej usługi Microsoft Intune wybierz pozycję Administracja > Zarządzanie urządzeniami przenośnymi > Windows > Windows Hello for Business, aby otworzyć stronę usługi Windows Hello dla firm.In the Microsoft Intune administration console, choose Admin > Mobile Device Management > Windows > Windows Hello for Business to open the Windows Hello for Business page.

    Strona usługi Windows Hello dla firm

  2. Wybierz jedno z następujących ustawień:Choose one of the following settings:

    • Wyłącz usługę Windows Hello dla firm na zarejestrowanych urządzeniach.Disable Windows Hello for Business on enrolled devices. Wybierz to ustawienie, jeśli nie chcesz używać usługi Windows Hello dla firm.If you don't want to use Windows Hello for Business, select this setting. Wszystkie inne ustawienia na ekranie będą wtedy niedostępne.All other settings on the screen are then unavailable.
    • Włącz usługę Windows Hello dla firm na zarejestrowanych urządzeniach.Enable Windows Hello for Business on enrolled devices. Wybierz to ustawienie, jeśli chcesz skonfigurować ustawienia usługi Windows Hello dla firm.Select this setting if you want to configure Windows Hello for Business settings.
    • Nieskonfigurowane.Not configured. Wybierz to ustawienie, jeśli nie chcesz używać usługi Intune do kontrolowania ustawień usługi Windows Hello dla firm.Select this setting if you don't want to use Intune to control Windows Hello for Business settings. Żadne z istniejących ustawień usługi Windows Hello dla firm na urządzeniach z systemem Windows 10 nie zostaną zmienione.Any existing Windows Hello for Business settings on Windows 10 devices will not be changed. Wszystkie inne ustawienia na ekranie są niedostępne.All other settings on the screen are unavailable.
  3. W przypadku wybrania opcji Włącz usługę Windows Hello dla firm na zarejestrowanych urządzeniach skonfiguruj wymagane ustawienia, które będą stosowane do wszystkich zarejestrowanych urządzeń z systemami Windows 10 i Windows 10 Mobile.If you selected Enable Windows Hello for Business on enrolled devices, configure the required settings that will be applied to all enrolled Windows 10 and Windows 10 Mobile devices.
  4. Gdy skończysz, wybierz pozycję Zapisz.When you are finished, choose Save.

Ustawienia zasad usługi Windows Hello dla firmSettings for the Windows Hello for Business policy

  • Używaj modułu TPM (Trusted Platform Module).Use a Trusted Platform Module (TPM). Moduł TPM zapewnia dodatkową warstwę zabezpieczeń danych.A TPM chip provides an additional layer of data security.
    Wybierz jedną z następujących opcji:Choose one of the following values:
    • Wymagane (domyślnie).Required (default). Tylko urządzenia z dostępnym modułem TPM mogą aprowizować usługę Windows Hello dla firm.Only devices with an accessible TPM can provision Windows Hello for Business.
    • Preferowane.Preferred. Urządzenia najpierw próbują użyć modułu TPM.Devices first attempt to use a TPM. Jeśli nie jest on dostępny, mogą używać szyfrowania programowego.If this is not available, they can use software encryption.
  • Wymagaj minimalnej długości numeru PIN/Wymagaj maksymalnej długości numeru PIN.Require minimum PIN length/Require maximum PIN length. Konfiguruje urządzenia do używania określonych minimalnych i maksymalnych długości numeru PIN, co pomaga zapewnić bezpieczne logowanie.Configures devices to use the minimum and maximum PIN lengths that you specify to help ensure secure sign-in. Domyślna długość numeru PIN to 6 znaków, ale można wymusić stosowanie numerów o długości minimalnej 4 znaków.The default PIN length is 6 characters, but you can enforce a minimum length of 4 characters. Maksymalna długość numeru PIN to 127 znaków.The maximum PIN length is 127 characters.
  • Wymagaj małych liter w numerze PIN/Wymagaj wielkich liter w numerze PIN/Wymagaj znaków specjalnych w numerze PIN.Require lowercase letters in PIN/Require uppercase letters in PIN/Require special characters in PIN. Można wymusić stosowanie silniejszych numerów PIN poprzez wymaganie użycia wielkich liter, małych liter i znaków specjalnych w numerze PIN.You can enforce a stronger PIN by requiring the use of uppercase letters, lowercase letters, and special characters in the PIN. Wybierz spośród opcji:Choose from:
    • Dozwolone.Allowed. Użytkownicy mogą używać typu znaków w numerze PIN, ale nie jest to konieczne.Users can use the character type in their PIN, but it is not mandatory.
    • Wymagane.Required. Użytkownicy muszą zawrzeć co najmniej jeden z typów znaków w numerze PIN.Users must include at least one of the character types in their PIN. Przykładowo często wymaga się zastosowania co najmniej jednej wielkiej litery i jednego znaku specjalnego.For example, it's common practice to require at least one uppercase letter and one special character.
    • Niedozwolone (ustawienie domyślne).Not allowed (default). Użytkownicy nie mogą używać tego typu znaków w numerach PIN.Users must not use these character types in their PIN. (Ta wartość jest stosowana także w przypadku, gdy parametr nie zostanie skonfigurowany).(This is also the behavior if the setting is not configured.)
      Znaki specjalne obejmują: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~.Special characters include: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~.
  • Wygaśnięcie numeru PIN (dni).PIN expiration (days). Dobrze jest ustalić okres ważności dla numeru PIN, po którym użytkownicy końcowi muszą go zmienić.It's a good practice to specify an expiration period for a PIN, after which users must change it. Wartość domyślna to 41 dni.The default is 41 days.
  • Pamiętaj historię numerów PIN.Remember PIN history. Ogranicza ponowne używanie wcześniej stosowanych numerów PIN.Restricts the reuse of previously used PINs. Domyślnie nie jest dozwolone ponowne użycie żadnego z 5 ostatnich numerów PIN.By default, the last 5 PINs cannot be reused.
  • Zezwalaj na uwierzytelnianie biometryczne.Allow biometric authentication. Umożliwia użycie uwierzytelniania biometrycznego, takiego jak rozpoznawanie twarzy lub linii papilarnych, zamiast numeru PIN na potrzeby usługi Windows Hello dla firm.Enables biometric authentication, such as facial recognition or fingerprint, as an alternative to a PIN for Windows Hello for Business. Użytkownicy nadal muszą skonfigurować służbowy numer PIN na wypadek niepowodzenia uwierzytelniania biometrycznego.Users must still configure a work PIN in case biometric authentication fails. Wybierz spośród opcji:Choose from:
    • Tak.Yes. Usługa Windows Hello dla firm pozwala na użycie uwierzytelniania biometrycznego.Windows Hello for Business allows biometric authentication.
    • Nie.No. Usługa Windows Hello dla firm nie pozwala na użycie uwierzytelniania biometrycznego (dotyczy wszystkich typów kont).Windows Hello for Business prevents biometric authentication (for all account types).
  • Użyj rozszerzonej ochrony przed fałszowaniem, jeśli jest dostępna.Use enhanced anti-spoofing, when available. Określa, czy funkcje ochrony przed fałszowaniem usługi Windows Hello są używane na obsługujących je urządzeniach (np. wykrywanie fotografii twarzy zamiast prawdziwej twarzy).Configures whether the anti-spoofing features of Windows Hello are used on devices that support it (for example, detecting a photograph of a face instead of a real face).
    W przypadku wybrania opcji Tak system Windows wymaga od wszystkich użytkowników używania ochrony przed fałszowaniem na potrzeby rozpoznawania twarzy, jeśli jest obsługiwana.If this is set to Yes, Windows requires all users to use anti-spoofing for facial features when that is supported.
  • Użyj logowania za pomocą telefonu.Use phone sign-in. W przypadku wybrania opcji Tak użytkownicy mogą używać paszportu zdalnego jako przenośnego urządzenia towarzyszącego w celu uwierzytelniania komputerów stacjonarnych.If this option is set to Yes, users can use a remote passport to serve as a portable companion device for desktop computer authentication. Komputer stacjonarny musi być przyłączony do usługi Azure Active Directory, a urządzenie towarzyszące musi mieć skonfigurowany numer PIN usługi Windows Hello dla firm.The desktop computer must be Azure Active Directory joined, and the companion device must be configured with a Windows Hello for Business PIN.

Dodatkowe informacjeFurther information

Aby uzyskać więcej informacji na temat usługi Microsoft Passport, zobacz przewodnik w dokumentacji systemu Windows 10.For more information about Microsoft Passport, see the guide in the Windows 10 documentation.